Требовать многофакторную проверку подлинности для регистрации устройств Intune
Применимо к:
- Android
- iOS/iPadOS
- macOS
- Windows 8.1
- Windows 10
- Windows 11
Вы можете использовать Intune вместе с политиками условного доступа Microsoft Entra, чтобы требовать многофакторную проверку подлинности (MFA) во время регистрации устройства. Если требуется MFA, сотрудники и учащиеся, желающие зарегистрировать устройства, должны сначала пройти проверку подлинности с помощью второго устройства и двух форм учетных данных. MFA требует, чтобы они прошли проверку подлинности с помощью двух или более из следующих методов проверки:
- То, что они знают, например пароль или ПИН-код.
- То, что у них есть, что невозможно дублировать, например доверенное устройство или телефон.
- То, что они есть, например отпечаток пальца.
Предварительные условия
Чтобы реализовать эту политику, необходимо назначить пользователям Microsoft Entra ID P1 или более поздней версии.
Настройка Intune для требования многофакторной проверки подлинности при регистрации устройства
Выполните следующие действия, чтобы включить многофакторную проверку подлинности во время регистрации Microsoft Intune.
Важно!
Не настраивайте правила доступа на основе устройств для регистрации в Microsoft Intune.
Войдите в Центр администрирования Microsoft Intune.
Перейдите в разделУсловный доступ к устройствам>. Эта область совпадает с областью условного доступа, доступной в Центр администрирования Microsoft Entra. Дополнительные сведения о доступных параметрах см. в статье Создание политики условного доступа.
Выберите Создать политику.
Присвойте политике имя.
Выберите категорию Пользователи .
- На вкладке Включить выберите Выбрать пользователей или группы.
- Появятся дополнительные параметры. Выберите Пользователи и группы Откроется список пользователей и групп.
- Добавьте пользователей или группы, для которые назначается политика, и нажмите кнопку Выбрать.
- Чтобы исключить пользователей или группы из политики, перейдите на вкладку Исключить и добавьте этих пользователей или группы, как это было на предыдущем шаге.
Выберите следующую категорию Целевые ресурсы.
- Выберите вкладку Включить .
- Выберите Выбрать приложения>Выбрать.
- Выберите Microsoft Intune Регистрация>Выберите, чтобы добавить приложение. Используйте панель поиска в элементе выбора приложений, чтобы найти приложение.
Для автоматической регистрации устройств Apple с помощью помощника по настройке с современной проверкой подлинности можно выбрать два варианта. В следующей таблице описана разница между параметром Microsoft Intune и параметром регистрации Microsoft Intune.
облачное приложение; расположение запроса MFA. Примечания по автоматической регистрации устройств Microsoft Intune Помощник по настройке,
Приложение корпоративного порталаПри использовании этого параметра MFA требуется во время регистрации и при каждом входе пользователя в приложение или веб-сайт Корпоративный портал. Запросы MFA отображаются на странице входа Корпоративный портал. Регистрация в Microsoft Intune Помощник по настройке При использовании этого параметра MFA требуется во время регистрации устройства и отображается в виде одноразового запроса MFA на странице входа Корпоративный портал. Примечание.
Облачное приложение Microsoft Intune регистрации не создается автоматически для новых клиентов. Чтобы добавить приложение для новых клиентов, администратор Microsoft Entra должен создать объект субъекта-службы с идентификатором приложения d4ebce55-015a-49b5-a083-c84d1797ae8c в PowerShell или Microsoft Graph.
Выберите категорию Предоставление .
- Выберите Требовать многофакторную проверку подлинности и Требовать, чтобы устройство было помечено как соответствующее.
- В разделе Для нескольких элементов управления выберите Требовать все выбранные элементы управления.
- Нажмите Выбрать.
Выберите категорию Сеанс .
- Выберите Частота входа и выберите Каждый раз.
- Нажмите Выбрать.
Для параметра Включить политику выберите Включено.
Нажмите кнопку Создать , чтобы сохранить и создать политику.
После применения и развертывания этой политики пользователи увидят одноразовый запрос MFA при регистрации устройства.
Примечание.
Для выполнения задачи MFA для следующих типов корпоративных устройств требуется второе устройство или временный пропуск доступа:
- Полностью управляемые устройства Android Enterprise
- Корпоративные устройства Android Enterprise с рабочим профилем
- Устройства iOS/iPadOS, зарегистрированные с помощью автоматической регистрации устройств Apple
- Устройства macOS, зарегистрированные с помощью автоматической регистрации устройств Apple
Второе устройство требуется потому, что основное устройство не может принимать вызовы или текстовые сообщения в процессе подготовки к работе.